Linux服务器安全配置

Linux帐户口令生存期策略

    • 口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。

    • http://man7.org/linux/man-pages/man5/login.defs.5.html

    • 修改文件/etc/login.defs,配置
      PASS_MAX_DAYS 90

 

Linux配置账户登录失败锁定策略

    • 设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。

    • http://man7.org/linux/man-pages/man8/pam_tally2.8.html

    • 设置连续输错5次口令,帐号锁定5分钟。
      在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】
      修复方案(仅供参考,请勿直接配置):
      centos
      修改配置/etc/pam.d/password-auth(将配置添加到合适的位置):
      auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
      account required pam_tally2.so
      ubuntu,debian:
      修改配置/etc/pam.d/common-auth(将配置添加到合适的位置):
      auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
      修改配置/etc/pam.d/common-account参数(将配置添加到合适的位置):
      account required pam_tally2.so

       

Linux帐户超时自动登出配置

    • 配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。

    • 修改/etc/profile文件,设置定时账户自动登出时间
      export TMOUT=180


限制root权限用户远程登录

    • 限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。 

    • 1. 修改文件/etc/ssh/sshd_config配置
      PermitRootLogin no
      2. 重启sshd服务

 

限制root登陆FTP

    • 限制root用户登陆FTP。

    • centos:
      1. 在文件/etc/vsftpd/ftpusers中增加root用户
      2. 重启FTP服务
      debain, ubuntu:
      1. 在文件/etc/ftpusers中增加root用户
      2. 重启FTP服务

 

限制匿名FTP

    • 限制匿名FTP用户登录。

    • centos:
      1. 修改配置文件/etc/vsftpd/vsftpd.conf, 配置:
      anonymous_enable=NO
      2. 重启FTP服务
      debain, ubuntu:
      1. 修改配置文件/etc/vsftpd.conf, 配置:
      anonymous_enable=NO
      2. 重启FTP服务

 

Linux服务器安全配置

上一篇:hdu 2340 Obfuscation


下一篇:Ubuntu下载精美壁纸